Архив метки: CyberOK

Помимо ТОПовых (трендовых) уязвимостей коллеги из CyberOK приводят в своём посте и АНТИТОП уязвимостей за декабрь и январь

Добавить комментарий

Помимо ТОПовых (трендовых) уязвимостей коллеги из CyberOK приводят в своём посте и АНТИТОП уязвимостей за декабрь и январь

Помимо ТОПовых (трендовых) уязвимостей коллеги из CyberOK приводят в своём посте и АНТИТОП уязвимостей за декабрь и январь. Это критичные и активно обсуждаемые уязвимости, однако имеющие "низкий охват в Рунете". Охват оценивается перимитровым сканированием Рунета с помощью EASM-системы СКИПА.

Всего в отчёте указаны 7 уязвимостей АНТИТОПа:

🔹 InfDisc - Adobe Commerce (CVE-2025-54236)
🔹 AuthBypass - Fortinet FortiOS/FortiProxy (CVE-2025-59718)
🔹 AuthBypass - Cisco AsyncOS (CVE-2025-20393)
🔹 RCE - WatchGuard Fireware OS (CVE-2025-14733)
🔹 RCE - SmarterTools SmarterMail WT (CVE-2025-52691)
🔹 RCE - Fortinet FortiSIEM (CVE-2025-64155)
🔹 SQLi - MOVEit Transfer (CVE-2023-34362)

Для российских организаций эти продукты и уязвимости в них действительно должны быть малоактуальны. Но если они в вашей организации всё-таки встречаются, обратите на них внимание.

Посмотрел пост с трендовыми уязвимостями за декабрь и январь по версии CyberOK, опубликованный 4 февраля

Добавить комментарий

Посмотрел пост с трендовыми уязвимостями за декабрь и январь по версии CyberOK, опубликованный 4 февраля

Посмотрел пост с трендовыми уязвимостями за декабрь и январь по версии CyberOK, опубликованный 4 февраля. CyberOK определяют трендовость на основе CybVSS и делают акцент на уязвимостях сетевого периметра российских организаций.

Одна уязвимость была также в январском дайджесте Positive Technologies:

🔻 InfDisc - MongoDB "MongoBleed" (CVE-2025-14847)

Ещё семь относят к трендовым только CyberOK:

🔻 AuthBypass - GNU Inetutils (telnetd) (CVE-2026-24061)
🔻 RCE - n8n "ni8mare" (CVE-2026-21858, CVE-2025-68613, CVE-2025-68668)
🔻 XXE - Apache Tika (CVE-2025-66516)
🔻 DoS - React Server Components (CVE-2026-23864)
🔻 InfDisc - 1C-Битрикс (BDU:2025-16324, BDU:2025-16325, BDU:2025-16349, BDU:2025-16350)
🔻 XXE - GeoServer (CVE-2025-58360)
🔻 AuthBypass - Fortinet (CVE-2025-59718, CVE-2026-24858, CVE-2025-59719, CVE-2020-12812)

Продолжение

Коллеги из СайберОК поделились своей методикой CybVSS (CyberOK Vulnerability Scoring System) по оценке критичности уязвимостей и определению трендовых уязвимостей

Добавить комментарий

Коллеги из СайберОК поделились своей методикой CybVSS (CyberOK Vulnerability Scoring System) по оценке критичности уязвимостей и определению трендовых уязвимостей

Коллеги из СайберОК поделились своей методикой CybVSS (CyberOK Vulnerability Scoring System) по оценке критичности уязвимостей и определению трендовых уязвимостей.

Формула расчёта:

"CybVSS = latest_cvss_bs^2 * spread * exploitability * mentions * k_kev, где:

🔹 latest_cvss_bs — базовая оценка CVSS последней версии;
🔹 spread — распространенность (количество хостов, затронутых уязвимостью);
🔹 exploitability — эксплуатируемость (количество эксплойтов);
🔹 mentions — цитируемость (количество постов);
🔹 k_kev — наличие факта эксплуатации уязвимости.

С точки зрения математического анализа, основное внимание уделяется уязвимостям, чье значение CybVSS превышает 100. Такие уязвимости классифицируются как трендовые, что подразумевает их высокую значимость и потенциальную актуальность в контексте потенциальных эксплуатаций злоумышленниками."

Практика расчёта требует уточнения, но выглядит интересно. 👍 И круто, что в паблике. 😉

Про уязвимость Authentication Bypass - GNU Inetutils (CVE-2026-24061)

Добавить комментарий

Про уязвимость Authentication Bypass - GNU Inetutils (CVE-2026-24061)

Про уязвимость Authentication Bypass - GNU Inetutils (CVE-2026-24061). GNU Inetutils - это набор сетевых программ общего назначения, включающий, среди прочего, сервер Telnet (telnetd). Уязвимость telnetd из GNU Inetutils позволяет удалённому злоумышленнику получить root-овый shell на хосте без каких-либо учётных данных, отправляя специально сформированную переменную окружения USER, содержащую строку "-f root".

⚙️ Патч, исправляющий уязвимость, вышел 20 января. Уязвимы версии от 1.9.3 до 2.7 (включительно). Уязвимость существовала в нераскрытом виде более 10 лет. 🤷‍♂️

🛠 Подробный write-up и эксплойт были опубликованы компанией SafeBreach 22 января.

👾 GreyNoise фиксировали случаи эксплуатации уязвимости с 21 января.

🌐 Текущая оценка Shodan - 212 396 Telnet-серверов в Интернете (всего). Сколько из них используют GNU Inetutils и уязвимы пока непонятно. CyberOK обнаружили в Рунете около 500 потенциально уязвимых Telnet-серверов.

Ni8mare, N8scape и другие критические уязвимости n8n

Добавить комментарий

Ni8mare, N8scape и другие критические уязвимости n8n

Ni8mare, N8scape и другие критические уязвимости n8n. n8n - это платформа автоматизации рабочих процессов (code/no-code). Поддерживает более 400 интеграций и встроенные возможности ИИ. Лицензируется как fair-code. Доступна on-prem и как облачный сервис.

🔻 18 ноября 2025 года был выпущен патч, закрывающий критическую уязвимость чтения файлов без аутентификации (CVE-2026-21858). В некоторых сценариях уязвимость позволяет добиться удалённого выполнения кода (RCE). Уязвимость назвали Ni8mare. С 7 января 2026 года доступен write-up и PoC. Также доступен эксплойт, задействующий уязвимость CVE-2025-68613 для достижения RCE.

🔻 Совместно с основной уязвимостью CVE-2026-21858 могут использоваться и другие уязвимости, требующие аутентификации: CVE-2025-68668 (N8scape), CVE-2025-68697 и CVE-2026-21877. Это позволяет добиться RCE или записи файлов.

🌐 CyberOK СКИПА фиксирует чуть менее 9 000 активных n8n в Рунете.

Перед праздниками коллеги из CyberOK качественно накинули на EPSS с примерами недавних уязвимостей

Добавить комментарий

Перед праздниками коллеги из CyberOK качественно накинули на EPSS с примерами недавних уязвимостей

Перед праздниками коллеги из CyberOK качественно накинули на EPSS с примерами недавних уязвимостей. Сразу поясню: у меня никаких претензий к идее EPSS нет. Предсказание скорого появления эксплоитов для уязвимостей! Для всех CVEшек! Бесплатно! Это же просто сказка! Ну, если бы это нормально работало. 😏

И ладно бы, эта штука просто колебалась вслед за новостным потоком: пошли новости о появлении эксплоитов или атак - взлетаем от 0 до 100%. Это, конечно, было бы никакое не предсказание, а просто очередная штука для отслеживания хайповости уязвимостей, тыщи их. Но ведь EPSS даже с этим не справляется! Для MongoBleed с публичным эксплоитом и признаками эксплуатации в атаках EPSS был околонулевой. 🤦‍♂️ И это обычное дело. Как посчитали в CyberOK, при слепом использовании фильтра EPSS>10% вы пропустите половину уязвимостей из CISA KEV. 🤷‍♂️

Я правда жду, когда EPSS-предсказания станут адекватнее, но пока от релиза к релизу ничего не меняется. 😟

Кстати, мой комментарий по "MongoBleed" (CVE-2025-14847) вышел в понедельник в Газета.Ru

Добавить комментарий

Кстати, мой комментарий по MongoBleed (CVE-2025-14847) вышел в понедельник в Газета.Ru

Кстати, мой комментарий по "MongoBleed" (CVE-2025-14847) вышел в понедельник в Газета.Ru. Аккурат в l33t-time. 😅 С правильным указанием имени, должности и компании. И по технике всё достаточно чётко. 👍😇

Конечно, ~2k хостов в Рунете - это оценка Censys. А их, наверняка, довольно сильно блочат и адекватно сканировать Рунет они вряд ли сейчас могут. Тут скорее ждём оценку от коллег из CyberOK.

Для тех, кто не может оперативно обновить MongoDB, разработчики рекомендуют:

"…отключите сжатие zlib на сервере MongoDB, запустив mongod или mongos с опцией networkMessageCompressors или net.compression.compressors, которая явно исключает zlib. Примеры безопасных значений включают snappy, zstd или disabled."

Кроме того, лучше ограничить сетевой доступ к экземплярам MongoDB только доверенными IP-адресами. Это рекомендация из Security Checklist.